RuMMS恶意软件重出江湖了

RuMMS恶意软件不仅又回来了，而且攻击功能又大大的增强了。2016年新型安卓恶意软件家族RuMMS就已经利用短信钓鱼攻击了俄罗斯地区的用户。

最近，美国网络安全公司Zscaler的ThreatLabZ团队发现了一个恶意软件，这个恶意软件是在一个名为mmsprivate[.]的虚假MMS网站上发现的。该网站都是一些色情照片，从而引诱受害者对其进行访问。当受害者访问时，该网站就会发出这样的提示：“如果你想观看更多劲爆内容，就请接受我们的协议”。当用户点击同意后，恶意Android软件包（APK）就将自动下载到被攻击者的手机中。恶意软件将自己伪装成Сooбщениe（可见是只针对俄罗斯地区的用户），其翻译成英文就是Messages的意思，并通过利用Android AccessibilityService执行其恶意功能，Android AccessibilityService可帮助残障人士使用Android设备和应用程序。然后。攻击时，恶意软件会隐藏自己，以监视用户。

在分析时，ThreatLabZ团队发现它与FireMye研究人员2016年发现的名为RuMMS的恶意软件相似，只是进行了一些修改。该新版本包含各种增强功能，因此ThreatLabZ团队将其称之为RuMMS 2.0版。

RuMMS 2.0的简单介绍

· 应用程序名称：Сooбщениe

· 哈希：c1f80e88a0470711cac720a66747665e

· Android软件包名称：ru.row.glass

RuMMS 2.0的下载和安装

恶意软件通过网站mmsprivate[.]site/feel/进行传播，并且很可能通过短信或电子邮件的形式。一旦用户点击链接，该软件就会诱使受害者点击一个按钮，植入恶意APK。这时托管在URL上的内容是采用的俄文，你可以在下图中查看翻译后的说明。

执行APK下载的初始URL

该APK来自一个未知源，由于Android系统不允许直接安装，因此只需通过简单点击即可启用“未知来源”选项来安装恶意应用程序。下图从左至右，显示了每一步安装过程。

从未知来源安装

启用AccessibilityService

安装完成后，应用程序将自己伪装成一个消息应用程序(如下面所示)。在第一次使用时，应用程序会重新定向受害者，以启用Android AccessibilityService。一旦Android AccessibilityService启用，应用程序将从主屏幕上消失，隐藏到后台。

AccessibilityService的启用

如果受害者的AccessibilityService未被启用，则恶意软件将持续出现在屏幕上（上图中的第二个屏幕截图），以诱导受害者启用该服务。

一旦启用AccessibilityService，恶意软件就会启动，使短信成为默认的消息传递渠道。通过使用AccessibilityService的功能，在确认该应用程序所发送的消息是否静默时，后台会自动选择“Yes”，如下图所示，用户将无法看到这个消息框，因为所有的操作都是在后台悄然进行的。

运行中的AccessibilityService

通讯机制

研究人员的调查显示，一旦初始设置完成，恶意软件就会开始向命令和控制（C＆C）服务器发送详细信息，C＆C的细节被硬编码。来自C＆C的请求和响应使用Base64编码。下图显示了正在发送和接收的解码值：

第一次请求

上图显示了受害者设备回传给C＆C的详细信息，C＆C用命令“40”和应用程序名称回复。请注意命令“40”是用于禁用应用程序的。

初始响应

以本文的RuMMS 2.0为例，要禁用的应用程序列表中，还包含了各种杀毒软件，其中包括：

· Trend Micro

· Dr.Web

· AhnLab

· Avira

· Sophos

· McAfee

· F-Secure

恶意软件这么做的目的就是要确保所有这些安防软件都不可操作。一旦受害者试图打开其中一个应用程序，恶意软件会立即关闭它。它的行为类似于一个臭名昭著的攻击俄罗斯银行Sber Bank的木马，当时该木马在攻击Sber Bank的应用程序时，也是不允许任何安防软件打开。

用户发送和盗取的信息短信

安装完毕后，恶意软件会等待来自C＆C服务器的命令，并由此开始各种攻击。正如下面展示样本那样，研究人员发现命令 “11”被用于发送短信，这个短信可以发送到到任何的手机上，至于短信内容，则由C＆C控制。

包含短信命令的响应

经过进一步分析，研究人员还发现恶意软件能窃取受害者手机上的短信，另外该功能还可用于窃取与银行相关的一次性密码代码（这样双重因素验证就不管用了）和其他相关信息。下图展示了此功能的实际用处：

窃取短信消息

盗取手机上的通讯录

该恶意软件还能够窃取受害者手机上的通讯录，这一恶意功能是用来进一步传播恶意软件的一种著名技术，叫做SMS-Phishing (或SMiShing)。

盗取手机上的通讯录

呼叫功能

该恶意软件还具有通话功能，在下面的例子中，被拨出的号码是以C＆C服务器以编码的方式发送过来的。

呼叫功能的实现

研究人员注意到的一个更有趣的事情是恶意软件传播的方式，每当研究人员访问链接时，他们都会看到一个新的恶意应用程序，这些应用程序的功能和RuMMS 2.0一模一样，只是具有不同的应用程序名称，不同的软件包名称，甚至使用不同的Android证书签名。研究人员还发现，应用程序具有不同的C＆C服务器，其格式为http://<domain-name>.com/<random-chars>/index.php。 以下为研究人员发现的与C＆C服务器关联的域名：

总结

RuMMS 2.0具有很多增强功能和更新的功能，目前迭代的RuMMS已经全面投入使用。在2018年5月的最后10天，Zscaler ThreatlabZ团队发现了580多个类似的应用程序，已在野外被利用。因此，小编建议清除未知链接，不要相信任何通过短信或电子邮件收到的可疑网址，只能从官方应用商店下载应用。另外，580多个类似的应用程序的完整列表可以在这里找到。

本文翻译自：https://www.zscaler.com/blogs/research/rumms-malware-back-enhancements如若转载，请注明原文地址：http://www.4hou.com/mobile/12014.html 更多内容请关注“嘶吼专业版”——Pro4hou